Конечно, входить в удаленную систему с ненадежного компьютера - плохая идея. Но иногда это просто необходимо. Разумеется, раскрытие незашифрованного ключевого файла SSH - не вариант. Ввод обычного пароля тоже нет.
S / Key кажется "обычным" решением, но требует строгого соблюдения порядка паролей в списке. Это нежелательно для общих учетных записей, так как все стороны должны будут синхронизировать использование списка.
Есть ли способ сделать одноразовые пароли без требований к порядку использования? Другие идеи?
Предыстория: два администратора имеют общий аккаунт. Другой должен получить «аварийный конверт», который запечатан и содержит информацию для этого аккаунта. Взлом пломбы разрешен только в случае, если другие админы недоступны.
Мы используем OTPW для этого. Простая реализация. Легко воспроизвести список паролей. Система запрашивает пароли по номеру, поэтому нет проблем с синхронизацией списков.
S / Key идеально подходит для этого сценария, но вам нужно сделать немного больше.
Создайте специальные учетные записи для каждого аварийного конверта. Эти учетные записи добавляются в sudoers и могут принимать права root. Это дает вам необходимый контрольный журнал (одна учетная запись на конверт, один конверт на пользователя) и необходимую гибкость.
После чрезвычайной ситуации администратор должен вернуть конверт для следующего пароля, который даст вам контрольный журнал.
Я уже некоторое время являюсь поклонником Юбики.
Проблема, похоже, в том, что вы пытаетесь использовать групповые учетные записи. Я вижу две возможности
Во втором случае вам нужно будет проверить, что s / key думает о пользователе (UID или номер UID) и можете ли вы назначить каждому логину отдельный список.
(Признаюсь - я никогда не пробовал №2 в Linux, но мы использовали его как длинный некоторое время назад, чтобы предоставить операторам альтернативную оболочку, которая на самом деле была системой меню, позволяющей им запускать некоторые фиксированные команды от имени пользователя root. В наши дни вы бы просто делали это с помощью sudo)
Взгляни на мобил-ОТП - это «дешевый» программный токен, который можно запустить на мобильном телефоне с поддержкой Java. Я успешно использовал его только с веб-приложениями, но, как я вижу, у них также есть модуль pam.
в качестве альтернативы есть викид, но я никогда не использовал это.
Это старая ветка, но кто-то может на нее наткнуться. Есть два интересных требования:
одна учетная запись, используемая несколькими людьми
аварийный envolope, который, я думаю, должен сработать только один раз.
ЛинОТП может с этим справиться. Вы можете назначить одному пользователю несколько разных токенов OTP разных производителей. (Треб. 1)
Кроме того, вы можете создать токен с фиксированным паролем. Положите это в конверт. Теперь самое интересное: вы можете определить, как часто токен может использоваться для успешной аутентификации. Таким образом, вы можете установить это значение = 1 для этого токена аварийного конверта (требуется 2)
Такие вещи, как Vasco Vacman, обеспечивают аутентификацию RADIUS, которую вы можете использовать для входа в Linux с помощью обычного PAM. Для них требуется физический токен, и они дороги, поэтому, вероятно, не подходят для вашей текущей ситуации.
Еще одна надежная альтернатива аутентификации - это RSA SecurID.
Плюсы: множество факторов на выбор, от «классического» брелока до программных токенов (включая iPhone!) До «OnDemand» (т.е. кодов OTP, отправленных по SMS / электронной почте), это то, что я, вероятно, использовал бы в этом случае. (т.е. у вас есть все "варианты", упомянутые в статье)
Плюсы: легко интегрируется практически с любой системой, обеспечивая надежную аутентификацию в большинстве систем.
Плюсы: Простота использования, от конечного пользователя POW.
Минусы: Цена. Это не самое дешевое решение на рынке.
Раньше я использовал OPIE. Он запрашивает пароли по номеру, поэтому вы знаете, какой из них он хочет.
Но теперь я перешел на Юбики.
Я не понимаю, почему стандартный S / Key не соответствует вашим требованиям.
Каждый раз, когда кто-то входит в систему, он отправляет им видимый «вызов», который включает порядковый номер желаемого пароля. Дается достаточно информации, чтобы выяснить, какая строка распечатанного списка одноразовых паролей запрашивается ... без какой-либо координации с любым другим пользователем, использующим учетную запись. (Другой способ взглянуть на это - вся необходимая координация обеспечивается самим компьютером, без необходимости для нескольких пользователей когда-либо разговаривать друг с другом.) Точно так же имеется достаточно информации (как порядковый номер, так и начальное значение), чтобы передать ее в программа для восстановления запрошенного пароля (если, конечно, вы знаете секрет).
Конверт может содержать либо еще одну распечатанную копию всего списка одноразовых паролей, либо исходный пароль (не skey), который все еще работает. (Конечно, для максимальной безопасности, если конверт когда-либо открывается, вы хотите изменить все, что в нем содержится [либо последовательность одноразовых паролей, либо исходный пароль].)
Так что скей, кажется, легко выполняет оба требования. Скажите мне еще раз, почему вы ищете что-то другое?